三菱电机 PLC 曝出多个严重安全漏洞

admin 2022年12月7日14:03:22安全漏洞评论9 views783字阅读2分36秒阅读模式

美国网络安全和基础设施安全局 (CISA) 在上周发布了一份工业控制系统 (ICS) 咨询,对三菱电机 GX Works3 工程软件存在的多个漏洞发出了安全警告。


三菱电机 PLC 曝出多个严重安全漏洞


GX Works3是一种用于 ICS 环境的工程软件,能够从控制器上传和下载程序、排除软硬件故障以及执行相应的操作维护。由于功能广泛,使得该软件平台成为攻击者的一个强有力的”集火“目标,攻击者希望破坏此类系统以控制受管理的 PLC。


在CISA揭露的10个缺陷中,有 3 个涉及敏感数据的明文存储,4 个涉及使用硬编码加密密钥,2 个涉及使用硬编码密码,1 个涉及凭证保护不足。最严重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 评分高达 9.1,可在无需任何权限的情况下被滥用,以获取对 CPU 模块的访问权限并获取有关项目文件的信息。


三菱表示,工程软件是工业控制器安全链中的一个关键组成部分,如果其中出现任何漏洞,对手可能会滥用它们最终危及托管设备,从而危及受监管的工业过程。


CISA也提到了一个CVSS 评分为8.6的MELSEC iQ-R 系列中的拒绝服务 (DoS) 漏洞信息,并指出由于缺乏适当的输入验证,成功利用此漏洞可能允许未经身份验证的远程攻击者通过发送特制数据包,在目标产品上造成拒绝服务。


缓解措施

三菱已经宣布相关补丁将在不久之后发布,在此之前建议应用以下缓解措施:

  • 尽可能限制不受信任方访问安全 CPU 项目文件;

  • 在传输和静止时充分保护安全 CPU 项目文件(例如通过加密);

  • 更改安全 CPU 模块上设置的所有弱密码;

  • 切勿重复使用相同的凭据打开安全 CPU 项目文件和访问安全 CPU 模块。


参考来源:

https://thehackernews.com/2022/12/cisa-warns-of-multiple-critical.html

 

三菱电机 PLC 曝出多个严重安全漏洞



精彩推荐








三菱电机 PLC 曝出多个严重安全漏洞
三菱电机 PLC 曝出多个严重安全漏洞
三菱电机 PLC 曝出多个严重安全漏洞
三菱电机 PLC 曝出多个严重安全漏洞

原文始发于微信公众号(FreeBuf):三菱电机 PLC 曝出多个严重安全漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月7日14:03:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  三菱电机 PLC 曝出多个严重安全漏洞 http://cn-sec.com/archives/1449261.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: